Le Nouveau Règlement Général de Protection des Données (GDRP) veut être un outil convivial créant plutôt une relation de confiance et de responsabilité entre les sujets traités, personnes physiques d’où proviennent les données, et les opérateurs qui les collectent, les traitent ou les transfèrent, qu’un instrument formaliste d’autorité et de contrôle.

Le texte du Règlement fixe son domaine d’application, lui donnant la possibilité de s’appliquer dans le monde entier, dans le but d’accroître la protection des droits des personnes visées, d’où proviennent les données et de qui elles sont transférées, en favorisant une extension des effets aux opérateurs/collecteurs de données dont les sièges se trouvent en-dehors de l’UE.

Lire le sujet : Top 4 des pièges relatifs à la propriété intellectuelle sur les réseaux sociaux

La complexité du Règlement et les concepts nouvellement introduits tournent autour de trois principes de base que le GDRP a consolidés et dont il a étendu le domaine d’application :

#1 Le Nouveau Règlement crée un cadre transparent pour les sujets dont les données sont collectées, assurant ainsi aux personnes visées un rôle beaucoup plus actif et aisé dans l’exercice direct de leurs droits, comme : retrait instantané du consentement ; demande d’effacement des données et, en même temps, possibilité de transmettre les données d’un opérateur à l’autre.

#2 Le Nouveau Règlement renonce au formalisme trop prononcé et aux barrières bureaucratiques imposées pour l’obtention de l’autorisation de transfert des données, laissant en même temps la possibilité aux États de fixer leur cadre normatif (guides, normes d’application) afin d’offrir un niveau adéquat de protection. Or ce fait est très bénéfique du point de vue des grands juges au niveau international qui ont à disposition une politique unitaire et des procédures de transfert et de sécurité uniques, sans avoir à se heurter à des obstacles législatifs.

#3 Les notifications et les autorisations de transfert vont ainsi devenir de la vieille histoire après le 25 mai 2018. Celles-ci resteront dans notre mémoire comme des moyens rudimentaires de transfert.

En simplifiant le formalisme et en limitant le rôle des autorités nationales de surveillance, il est réalisé un transfert direct des attributions aux opérateurs et aux collecteurs, qui doivent respecter strictement dès le départ toutes les obligations légales et en même temps surveiller la bonne application des standards de traitement des données et de leur transfert.

Si, au début, nous avons énoncé le fait que le Règlement créait un rapport qui peut être, pourquoi pas, assimilé à une relation contractuelle entre les principales parties prenantes, nous avons aussi vu que l’élément central d’un tel rapport était le consentement.

En entrant au cœur de cette relation en tant que modalité d’interaction, nous observons l’affaiblissement du rôle des autorités publiques et le transfert, du point de vue administratif, à la sphère privée, là où les parties gèrent seules les droits, les obligations et les intérêts, en respectant saintement le consentement donné, qui est, aux termes du règlement, à tout moment révocable. Cela a pour rôle d’offrir un niveau élevé de confiance entre les parties prenantes à la relation.

La responsabilité accrue des opérateurs résulte du double rôle qu’ils doivent assurer, c’est-à-dire remplir leurs obligations et réaliser une veille permanente d’une part et réaliser des actions de prévention et prendre des mesures de contrôle des éventuels manquements, d’autre part.

Domaine d’application du GDRP

> Contexte législatif

Le 27 avril 2016, le Parlement Européen et le Conseil ont adopté le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la Directive 95/46/CE.

Le Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données – GDRP), a été publié au Journal Officiel de l’Union L119 du 4 mai 2016, et ses dispositions seront directement applicables dans tous les États membres de l’Union Européenne à partir du 25 mai 2018.

Le Règlement (UE) 2016/679 impose en ensemble unique de règles en matière de protection des données à caractère personnel, remplaçant la Directive 95/46/CE et, implicitement, les dispositions de la Loi n° 677/2001.

> Raisons qui ont poussé à l’élaboration du GDRP

Offrir une transparence à la personne visée et responsabiliser l’opérateur de données par rapport à la manière dont il traite les données à caractère personnel.

Fixer une série de garanties spécifiques pour protéger le plus efficacement possible la vie privée des mineurs, notamment dans le milieu en-ligne ;

Consolider les droits garantis aux personnes visées et introduire de nouveaux droits : droit à l’oubli, droit sur le transfert des données et droit de restreindre le traitement.

Renforcer les sanctions allant jusqu’à 10 – 20 millions d’euros ou entre 2 % et 4 % du chiffre d’affaires au niveau international, pour les opérateurs du secteur privé.

> Application territoriale du GDRP

Traitement des données à caractère personnel dans le cadre des activités menées au siège d’un opérateur ou d’une personne mandatée par l’opérateur pour ce faire sur le territoire de l’Union, que le traitement ait lieu ou non sur le territoire de l’Union (Weltimmo v Naih – (C-230/14) ; Google Spain SL, Google Inc. v AEPD, Mario Costeja González (C-131/12)).

Traitement des données à caractère personnel de personnes visées se trouvant dans l’Union par un opérateur ou une personne mandatée qui ne se trouve pas établi dans l’Union, quand les activités de traitement sont liées à :

– l’offre de biens ou de services à de telles personnes visées se trouvant dans l’Union, que soit ou non demandée la réalisation d’un paiement par la personne visée,
– le suivi de leur comportement si celui-ci se manifeste dans le cadre de l’Union.

Traitement des données à caractère personnel par un opérateur qui n’est pas établi dans l’Union, mais en un lieu où le droit interne s’applique sur la base du droit public international.

> Exceptions – cas où ne s’applique pas le GDRP (ou RGPD)

Le GDRP ne s’applique pas au traitement des données à caractère personnel :

– en ce qui concerne les activités qui ne sont pas régies par la législation de l’UE (par exemple des activités relatives à la sécurité nationale),
– en ce qui concerne la politique externe et de sécurité commune de l’UE,
– par les autorités compétentes dans la prévention, l’investigation, la détection ou l’instruction des infractions et des aspects connexes,
– par les institutions de l’UE, si est appliqué le Règlement 45/2001 / CE à la place du GDPR. Ce règlement doit être mis à jour pour être harmonisé avec le GDPR.

« Par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques », par ex. : Bodil Lindqvist (C-101/01).

Concepts introduits par le GDPR

> Transparence et consentement

Les organismes devront fournir aux personnes des informations étendues concernant le traitement de leurs données à caractère personnel :

– fourniture d’informations d’une manière concise, transparente, intelligible et facilement accessible,
– utilisation de pictogrammes pour signaler les informations d’intérêt élevé,
– interdiction d’introduire des champs complétés par défaut pour obtenir le consentement.

Le traitement des données à caractère personnel de l’employé ne se fait plus sur la base de son simple consentement, mais sur la base d’un intérêt légitime invoqué par l’employeur au moment de la collecte de ces données ; l’inégalité de position entre l’employé et l’employeur fait présager que l’employé n’est pas libre de son consentement, ce qui fait que la base du traitement doit être différente.

> Consentement des enfants

Il est interdit de traiter les données à caractère personnel des enfants de moins de 13 ans.

L’offre directe de services en-ligne à un enfant présupposant le traitement de ses données à caractère personnel est légale si l’enfant a au moins 16 ans.

Si l’enfant a moins de 16 ans, un tel traitement n’est légal que dans la mesure où le consentement en question est accordé ou autorisé par l’un des parents ou par la personne exerçant sa tutelle sur l’enfant.

> La pseudonymisation

Elle suppose le traitement des données à caractère personnel de telle manière que celles-ci ne puissent pas être attribuées à une certaine personne sans que soient utilisées des informations supplémentaires.

Les informations supplémentaires susmentionnées doivent être stockées de manière séparée et faire l’objet de mesures de nature technique et organisationnelle assurant l’absence de connexion entre elles et la personne visée.

C’est un facteur dont il faut tenir compte quand l’on veut déterminer si le traitement est « incompatible » avec les buts pour lesquels les données à caractère personnel ont été initialement collectées et traitées.

C’est un exemple de technique pouvant remplir les exigences pour la mise en application des concepts de privacy by design, privacy by default. Cela peut contribuer à assurer la sécurité des données GRDP (voir la section relative à la violation des données à caractère personnel et à la notification).

Cela est nécessaire aux organismes désirant utiliser les données à caractère personnel en tant qu’open data pour des recherches historiques ou scientifiques ou à des fins statistiques.

> Violation de la sécurité des données à caractère personnel

Grâce au GDPR, il est introduit un cadre légal s’appliquant à tous les opérateurs de données, quel que soit leur secteur d’activité : il y a obligation de notification quand a lieu une violation de la sécurité des données à caractère personnel. L’opérateur notifie ainsi le fait à l’autorité de surveillance habilitée.

> Extension de la notion de données sensibles

Données génétiques : il s’agit des données à caractère personnel relatives aux caractéristiques génétiques héritées ou acquises d’une certaine personne physique, donnant des informations uniques sur la physiologie ou la santé de la personne en question et qui résulte notamment d’une analyse d’un échantillon de matériel biologique récolté auprès de la personne en question ;

Données biométriques : il s’agit des données à caractère personnel résultant de techniques de traitement spécifiques relatives aux caractéristiques physiques, physiologiques ou comportementales d’une certaine personne physique qui permettent ou confirment l’identification unique de la personne en question, comme par exemple les images faciales ou les données dactyloscopiques.

> Privacy by design, privacy by default

Privacy by design : obligation de l’opérateur de créer une infrastructure assurant que le logiciel, dès son développement, respectera les règles et les principes établis par le GDPR.

Privacy by default : il faut s’assurer que les configurations initiales du fabricant permettront aux utilisateurs de garder le contrôle de leur vie privée sur ce qu’ils postent ou sur ce qu’ils partagent avec d’autres utilisateurs.

> Droits supplémentaires des sujets dont les données personnelles sont collectées

Droit à l’oubli : effacement des données si celles-ci sont traitées de manière illégale, sans consentement ou si les données ne sont plus nécessaires au but pour lequel elles ont été initialement traitées.

Droit à la portabilité des données : il existe une plus grande liberté pour les sujets dont les données sont traitées. L’on peut opter pour le transfert des données d’un opérateur à un autre.

> Autorité de surveillance

Un, elle surveille la mise en application du présent règlement afin de protéger les droits et les libertés fondamentales des personnes physiques en ce qui concerne le traitement de leurs données à caractère personnel.

Deux, elle facilite la libre circulation des données à caractère personnel au sein de l’Union.

Et trois, elle agit en tant qu’interlocuteur, comme point de contact, quand l’opérateur de données est établi dans un autre État.

> Data protection officer / le responsable de la protection des données

La nomination d’un responsable de la protection des données au niveau de l’opérateur représente l’une des mesures par lesquelles l’on essaie de responsabiliser les opérateurs de données. Celui-ci conseille l’opérateur afin qu’il respecte toutes ses obligations et assure la transparence nécessaire face aux personnes concernées.

 

Sanctions au manquement du GDRP

Pour manquement à un ordre émis par l’autorité de surveillance, sont appliquées des amendes administratives allant jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires mondial total annuel correspondant à l’exercice financier antérieur, étant tenu compte de la valeur la plus élevée.

Cette tribune vous est proposée par :
Paul Cosmovici, Managing Partner at Cosmovici Intellectual Property. Spécialisé dans les stratégies de protection des marques, en particulier concernant la Suisse, les États-Unis, la France, l’Allemagne, le Royaume-Uni, la Russie et la Chine avec une expérience significative dans le domaine de la propriété intellectuelle internationale.